Social Media - Fake News - Phishing
Social Media: Zwischen Fenster zur Welt und Phishing-Oase
Fake Profile und falsche Prinzen
Von Jelle Wieringa, Security Awareness Advocate bei Knowbe4
Soziale Medien wie Facebook, Twitter und Tik Tok verbinden Millionen Menschen auf der ganzen Welt und laden dazu ein, das eigene virtuelle Netzwerk über den Globus zu spannen und stetig zu erweitern. Allerdings werden die Plattformen mehr und mehr zum Jagdgebiet von Cyberkriminellen.
1,9 Milliarden Nutzer verzeichnet Facebook, unabhängig ob Individuum oder Unternehmen. Das entspricht theoretisch einem Viertel der gesamten Weltbevölkerung. Dabei ist Facebook mehr, als nur der Name eines Nutzers oder die Adresse eines Unternehmens. 1,9 Milliarden Nutzer bedeuten 1,9 Milliarden unterschiedliche Datensätze voll mit Informationen, mit denen sich Geld verdienen lässt, 1,9 Milliarden E-Mail Adressen, die zur Verifizierung angegeben wurden und 1,9 Milliarden Passwörter, die vielleicht mehrfach verwendet werden – kurz gesagt sind 1,9 Milliarden Gründe für Cyberkriminelle, sich näher mit sozialen Medien zu beschäftigen. Facebook ist schließlich nicht das einzige Ziel, das mit fetter Beute lockt. Die beliebteste Methode, mit der sich die potenziellen Opfer dabei auf den Plattformen konfrontiert sehen, ist Phishing.
Der ‚Profilviewer‘ lockt die Neugierigen
Social Media bietet nicht nur Menschen ein Podium zur Selbstdarstellung, es lockt auch mit virtueller Aufmerksamkeit, zum Beispiel in Form von Likes und ähnlichem. Diese virtuelle Aufmerksamkeit birgt einerseits psychologische Gefahren , andererseits kann sie auch zum Werkzeug für Phishing werden, so zum Beispiel bei der Kampagne des ‚Profilviewers‘ bei Facebook. Dabei wird ein Add-in für Facebook beworben, dass es dem Anwender angeblich ermöglicht nachzuvollziehen, wer sich sein digitales Profil auf der Plattform ansieht. Alles, was man dafür tun muss, ist sich über einen Link und per Facebook-Login beim Anbieter des Services registrieren. Dabei handelt es sich jedoch um eine Falle. Statt der Installation eines Add-ins hat man soeben seine Zugangsdaten an Kriminelle weitergegeben, die die Neugier der Leute ausnutzen. Dabei lässt sich die Masche eigentlich leicht enttarnen. Klickt man auf den Link und gibt dann aber erfundene Zugangsdaten ein, so wird man dennoch weitergeleitet, als hätte alles seine Richtigkeit. Das liegt daran, dass die Login-Page hinter dem Link zwar wie die von Facebook aussieht, aber natürlich nicht die wirklichen Login-Formation verifizieren kann. Die Methode mit den erfundenen Logins hilft also dabei, Phishing zu erkennen und zu überlisten.
Verschleierte Absichten dank ‚Rogue URL‘
Eine beliebte Form des Phishings bleibt auch die Verschleierung der Absichten durch ‚Rogue URL‘, also Weblinks, die ihr eigentlich Ziel hinter falschen Web-Adressen verstecken. COVID-19 und die Menschenrechtsbewegung ‚Black Lives Matter‘ wurden im Jahr 2020 besonders gerne genutzt, um dem eigenen Internetauftritt Aufmerksamkeit zu verschaffen und um die eigenen, kriminellen Absichten zu verhüllen. Besonders anfällig für ‚Rogue URL‘ ist dabei die Plattform Twitter und ihre Nutzer. Durch die limitierte Anzahl an Zeichen sind die Nutzer daran gewöhnt, dass Links mittels sogenannter Kurz-URL-Dienste, wie zum Beispiel ‚bitly‘, verkürzt werden. Das wiederum spielt allerdings Phishing-Kampagnen in die Hände, da Nutzer sich zu selten die dahinterliegende Web-Adresse anzeigen lassen, zum Beispiel durch spezielle Browser-Erweiterungen . Wer es nach dem Aufrufen der Seite versäumt, die angesteuerte URL manuell zu überprüfen, der zappelt so gut wie Netz der Betrüger. Diese tarnen sich dann zumeist als legitime und bekannte Marke, wie zum Beispiel Microsoft oder PayPal. Einen falschen Klick oder einen fahrlässigen Login später warten entweder der Kontrollverlust über Konten oder Malware, die sich durch die eigenen Systeme frisst.
Fake Profile und falsche Prinzen
Auch „klassische“ Phishing-Methoden und Betrugsversuche sind keine Seltenheit auf Social Media. Neben diversen Freundschaftsanfragen von angeblichen alten Bekannten, Kollegen oder Singles aus der Nachbarschaft kursieren auch weiterhin noch Kampagnen wie die eines Prinzen, der nur ein kleines bisschen finanzielle Hilfe benötigt und im Gegenzug ein kleines Vermögen verspricht. Obwohl diese Masche schon lange im Umfeld ist, sieht sich die amerikanische Strafverfolgungsbehörde FBI nach wie vor dazu verpflichtet, davor zu warnen. Die Zahlen von Scamwatch zu dieser Form des digitalen Betrugs unterstützen das: Alleine 2020 ist dadurch ein finanzieller Schaden von über 150.000 US-Dollar entstanden.
Social Media und Social Engineering
Ein Problem, dass nicht direkt aus den Plattformen selbst resultiert, sondern aus den Informationen, die wir mit der Welt teilen, ist Social Engineering. Dabei nutzen Betrüger die Inhalte, Fotos, Freundeslisten und Steckbriefe, die sie im Internet und besonders auf den sozialen Medien finden, um den nächsten Schritt vorzubereiten. Nachdem sie sich ausreichend über ihr auserkorenes Opfer informiert haben, treten sie mit ihm in den direkten Kontakt. Solche Maschen sind oft schwerer zu erkennen, da der Interaktionspartner scheinbar intimes Wissen über die eigene Person hat. Die wenigsten bedenken dann, dass sie vielleicht zu viel von sich im Internet preisgegeben haben. Die kann klassisch per Mail oder Vishing passieren, aber auch Deepfakes , also gefälschte Aufzeichnungen von Stimme oder Videos, sind keine Seltenheit mehr, da Youtube und Tik Tok mit jeder Menge an für den Betrug notwendigem Audio- und Video-Material gefüllt werden.
Social Media erfordert Sorgfalt und Security Awareness
Besonders in einer Arbeitswelt, die sich so rasant verändert wie die unsere aktuell ist es wichtig, dass wir damit beginnen, unsere Social-Media-Aktivitäten ähnlich zu betrachten, wie unsere E-Mail-Konten. Das gilt natürlich besonders dann, wenn wir diese auf einem Arbeitsgerät nutzen oder im Homeoffice mit dem eigenen Endgerät für das Unternehmen tätig sind. Wir müssen uns bewusst machen, dass auch dort Gefahren lauern, die es zu erkennen und zu vermeiden gilt – manchmal mit so einfachen tricks wie dem Lesen der Web-Adresse und der Eingabe erfundener Login-Daten. Doch lassen wir die nötige Aufmerksamkeit im Umgang mit den Plattformen vermissen, so wird aus unserem Fenster zur Welt schnell ein Einfallstor für Cyberkriminelle.